Skip to content
Blog

MikroTiku haldamine ZeroTieriga

Kokkuvõte
ZeroTier loob turvalise, võrdses võrgus oleva virtuaalse LAN-i, mis võimaldab kaug-MikroTike ilma avalike IP-de või keeruliste VPN-ideta hallata. Juhendis käsitletakse paigaldamist, MikroTiku integreerimist, alavõrgu marsruutimist ja töökindluse nõuandeid.

Kaug-MikroTiku haldus ZeroTieriga

ZeroTier tundub nagu üle maailma ulatuv LAN.

See loob krüpteeritud võrdsed ühendused ja annab igale liikmele sisemise IP-aadressi.

Pole avalikke IP-sid.
Pole valulikke pordisihte.
Pole mahukaid PKI-sid.

See juhend näitab praktilisi samme MikroTikide viimiseks ZeroTier võrguga liituma ja kohalike teenuste turvaliseks avamiseks.

Mis on ZeroTier?

ZeroTier on virtuaalne võrgustiku platvorm — segu VPN-ist, P2P-st ja SD-WAN-ist.

See loob igale sõlmele virtuaalse liidese (tavaliselt zt0).

Sõlmed liituvad võrguga, kasutades võrgutunnust (Network ID).

Liikmed saavad privaatset IP-d ja suhtlevad turvaliselt.

Planet/kuu serverid aitavad ainult leidmisel.

Liiklus on võimalusel otsepõhine.

Kuidas ZeroTier töötab (lühidalt)

  • Kontroller (võrk): loote ja haldate võrgud aadressil my.zerotier.com või oma kontrolleris.
  • Võrdsed sõlmed: seadmed, mis kasutavad ZeroTier klienti ja liituvad võrguga.
  • Planet/Kuud: leidmise ja ülekande abid (avalikud või isehostitud).

ZeroTier haldab NAT läbimist automaatselt.

Autentimine: administraator kinnitab uued sõlmed veebikonsoolis.

Turvemudel

ZeroTier kasutab kaasaegset krüptot (Curve25519, autentitud ajutised võtmed).

Igal sõlmel on võtme paar ja 40-bitine riistvarataoline aadress.

Administraatorid kontrollivad, millised sõlmed saavad liituda.

ZeroTier ei dekrüpteeri teie liiklust avalikes kontrollerites.

Märkus: Kui vajate täielikku operatiivset sõltumatust, hallake oma kontrollerit ja kuusid.

Kiire seadistus (server, töölaual)

  1. Looge konto ja võrk aadressil https://my.zerotier.com.

  2. Märkige Võrgutunnus (näide: 8056c2e21c000001).

  3. Paigaldage klient Linux serverisse või VPS-i:

Terminal window
curl -s https://install.zerotier.com | sudo bash
sudo zerotier-cli join 8056c2e21c000001
sudo zerotier-cli listnetworks

  1. Veebikonsoolis lubage uus sõlm (lülitage sisse Auth?).

  2. Kinnitage sisemised IP-d käsuga zerotier-cli listnetworks.

Lihtne.

ZeroTieri paigaldus MikroTikule (RouterOS 7.5+)

MikroTik pakub RouterOS 7.x jaoks ametlikku ZeroTier paketti.

Sammud:

  1. Laadige sobiv zerotier-7.x-<arch>.npk fail aadressilt mikrotik.com.
  2. Laadige .npk faili ruuterisse ja taaskäivitage seade.
  3. Looge ZeroTier liides ja liituge võrguga:
/interface zerotier add name=zt1 network=8056c2e21c000001
/interface zerotier print
  1. Kinnitage MikroTik ZeroTier veebikonsoolis.

Kui status näitab connected, on ruuter Tailnetis.

Näpunäide: Hoidke ZeroTier pakett RouterOS uuenduste järel ajakohasena.

Kohalike alavõrkude reklaamimine ja marsruutimine

Kui soovite, et ruuteri LAN-seadmed oleksid ZeroTieri kaudu ligipääsetavad, lisage marsruut või NAT reeglid.

Valik A — marsruutige LAN (eelista, kui võimalik)

MikroTikul teatage kohalik alavõrk, lisades marsruudi ja lubades edastamise:

/ip route add dst-address=192.168.88.0/24 gateway=zt1
/ip firewall filter add chain=forward src-address=192.168.88.0/24 dst-address=!192.168.88.0/24 action=accept

Seejärel tagage, et ZeroTier sõlmed teavad marsruuti (reklaamitakse kontrolleri kaudu või aktsepteeritakse seadetes).

Valik B — dst-nat kindlale teenusele (täpne ja turvaline)

Määrake ZeroTier IP/pordi kaardistamine sisehostile:

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.10 to-ports=80

Kasutage seda teisest sõlmest aadressil http://<zerotier-ip>:8081.

Hoiatus: Avage ainult vajalikud teenused. Vältige laia marsruutrindeid, kui te ei kontrolli ligipääsu rangelt.

Kasulikud tööoperatsioonide nõuanded

  • Valige saidi LAN-ide jaoks kattumata privaatsed alavõrgud, et vältida marsruutimise konflikte.
  • Kasutage ZeroTier konsoolis kirjeldavaid nimesid ruuterite jälgimiseks.
  • Rühmitage sõlmed siltide ja ACL-idega lihtsama juurdepääsu jaoks.
  • Jälgige zerotier-cli väljundeid ja RouterOS logisid ühenduse probleemide korral.

Levinumad tõrkeotsingu juhtumid

  • Sõlm kinni REQUESTING_CONFIGURATION olekus: Kontrollige, et kontroller on kättesaadav ja sõlm on autoriseeritud.
  • Puudub võrdne otsene ühendus: DERP vahendajad suunavad liiklust; kontrollige jõudlust ja kaaluge isehostitud kuusid.
  • IP konflikt kohaliku LAN-iga: Muutke ZeroTieri antud vahemikku või kohalikku LAN-i.

Võrdlus teiste lahendustega

LahendusAvalik IP vajalikLihtsusSobib kõige paremini
ZeroTierEiVäga lihtneKiire võrgu sisselülitus, kaugseadmed NAT taga
TailscaleEiVäga lihtneIsikutunnustel põhinevad juhtimistasandid, meeskonnad
WireGuard (manuaalne)MõnikordMõõdukasKõrge jõudlus, ise tehtavad lahendused
OpenVPN / IPSecMõnikordKeerulineVanemate seadmete ühilduvus, PKI kontroll

Millal valida ZeroTier

  • Vajate kiiret, vähese tõrgetega võrgustikku paljude seadmete vahel.
  • Peate ligipääsu seadmetele CGNAT-taga ilma avalikke IP-sid määramata.
  • Soovite hübriidi — võrdsed sõlmed koos võimalike vahendajate ja sõbraliku kasutajaliidesega.

Kui teil on vaja rangeid isikutel põhinevaid ACL-e, mis on seotud ettevõtte SSO-ga, kaaluge Tailscale’i.

Kus MKController abistab: Suurtele MikroTik pargadele mõeldud meeskondadele koondab MKController NATCloud kaugjuurdepääsu ja jälgimise — vähendades võrgutöömahtu per seadme ja hoides juhtimist ning jälgitavust.

Kokkuvõte

ZeroTier vähendab oluliselt kaugjuhtimise takistusi.

See on kiire, turvaline ja sobib segakeskkondadesse.

Mõne RouterOS käsuga saate ühenduse MikroTiku ja ligipääsu sise-teenustele turvaliselt.

Alustage väikeselt: autoriseerige ruuter, avage üks teenus, seejärel laiendage marsruute ja ACL-e.

Teave MKControlleri kohta

Loodame, et ülalkirjeldatud teadmised aitasid teil oma MikroTik ja interneti maailma paremini mõista! 🚀
Kas seadistate konfiguratsioone või proovite lihtsalt võrgukorraldust korda saada, MKController teeb teie elu lihtsamaks.

Tsentraliseeritud pilvehaldus, automaatsed turvavärskendused ja kasutajasõbralik armatuurlaud — meil on, mida teie operatsiooni uuendada.

👉 Alustage oma tasuta 3-päevast prooviperioodi kohe aadressil mkcontroller.com — ja vaadake, milline tõeline võrgukontroll ilma pingutuseta välja näeb.